Accueil Cybersécurité Violation de données personnelles : 33,7 millions de personnes concernées en 4...

Violation de données personnelles : 33,7 millions de personnes concernées en 4 mois selon la Cnil

En quatre mois, la Commission nationale informatique et libertés (Cnil) a reçu 742 notifications de violation de données personnelles, concernant 33,7 millions de personnes en France et à l’étranger, a-t-elle indiqué mardi.

Depuis l’entrée en vigueur du Règlement européen sur la protection des données (RGPD) le 25 mai, les entreprises sont tenues de notifier sous 72 heures à la Cnil toute violation des données personnelles qu’elles détiennent, si cette violation entraîne un risque pour les droits et libertés des personnes concernées. Beaucoup de spécialistes s’attendent à ce que cette obligation de signalement dissipe la « loi du silence » qui aurait régné jusqu’alors dans le secteur.

De l’hébergement/restauration à la finance

Parmi les notifications reçues par la Cnil, le secteur de l’hébergement et de la restauration est surreprésenté avec 185 notifications de violation. Ce poids particulier s’explique par un incident chez un prestataire fournissant des outils de réservation dans l’hôtellerie-restauration – chacun des clients a dû faire une notification à la Cnil.
Viennent ensuite les secteur des sciences techniques, des commerces auto-moto, de l’information-communication, de la finance et des assurances.

Principalement des actes malveillants externes à l’entreprise

Dans une écrasante majorité des cas (695), les violations signalées sont des atteintes à la confidentialité des données. Mais elles peuvent être également des atteintes à la disponibilité des données (71) ou à leur intégrité (50).
Dans 65% des cas, ces notifications étaient liées à un acte malveillant venant de l’extérieur. Dans 15%, il s’agissait d’une erreur humaine interne. « Deux grandes tendances se dessinent« , a estimé la Cnil: « les piratages et vols intentionnels imputables à un tiers malveillant » ou « les erreurs involontaires imputables à un personnel ».

Si les entreprises ne signalent pas les problèmes de données personnelles dans les 72 heures, la Cnil a une « approche répressive » et peut infliger une sanction allant jusqu’à 10 millions d’euros, ou 2% du chiffre d’affaires. En revanche, dans le cas ou les entreprises viennent spontanément dans les trois jours, la Cnil « privilégie l’accompagnement », pour « aider les professionnels à prendre toutes les mesures pour limiter les conséquences d’une violation« , a-t-elle expliqué.

 

Auteur  La Rédaction avec AFP